Un documento de PowerPoint en modo presentación realiza un ciberataque tras el primer movimiento del ratón. Luego, un script de PowerShell ataca y ejecuta el malware Graphite. Se dice que APT28, también conocido como Fancy Bear, está detrás del ataque.
Los investigadores de Cluster25 recopilaron y analizaron un documento malicioso que se usó para implantar una variante del malware Graphite claramente asociado con el actor de amenazas conocido como APT28 (también conocido como Fancy Bear, TSAR Team). Este es un grupo APT atribuido a la Dirección General de Inteligencia de Rusia del Estado Mayor de Rusia por una acusación del Departamento de Justicia de EE. UU. de julio de 2018. El documento cebo es un archivo de PowerPoint que explota una técnica especial de ejecución de código: se activa cuando el usuario inicia el modo de presentación y mueve el mouse. El lanzamiento del archivo ejecuta un script de PowerShell que descarga y ejecuta un cuentagotas desde OneDrive. Después de eso, extrae e inserta un nuevo archivo PE (Portable Executable) en sí mismo, que se ha analizado como una variante de una familia de malware llamada Graphite, que usa Microsoft Graph API y OneDrive para la comunicación de C&C.
Señuelos de archivo de PowerPoint con información de la OCDE
Según los metadatos del archivo de PowerPoint infectado, los atacantes utilizaron una plantilla que puede estar vinculada a la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Esta organización trabaja con gobiernos, legisladores y ciudadanos para establecer estándares internacionales basados en evidencia y encontrar soluciones a una variedad de desafíos sociales, económicos y ambientales. Este es un archivo de PowerPoint (PPT) que contiene dos diapositivas con el mismo contenido, la primera en inglés y la segunda en francés. El documento proporciona instrucciones sobre cómo usar la opción de interpretación disponible en Zoom.
Técnica de ejecución pérfida a través de hipervínculos
Este PowerPoint utiliza una técnica de ejecución de código que se activa mediante el uso de hipervínculos en lugar de "ejecutar programa/macro". Se activa cuando el usuario inicia el modo de presentación y mueve el mouse. El código que se ejecuta es un script de PowerShell que se ejecuta desde la utilidad SyncAppvPublishingServer y descarga un archivo de OneDrive con una extensión JPEG (DSC0002.jpeg). Este, a su vez, es un archivo DLL que luego se descifra y se escribe en la ruta local C:\ProgramData\lmapi2.dll.
El blog de Cluster25, el equipo de DuskRise, proporciona un análisis técnico detallado del nuevo ataque a través de un archivo de PowerPoint.
Más en DuskRise.com